OSV-Scanner项目将支持Red Hat版本比对功能

Google开源项目OSV-Scanner即将迎来一个重要更新——支持Red Hat软件包版本比对功能。这一功能将显著提升该工具在Red Hat生态系统中的安全扫描能力。

背景与现状

OSV-Scanner是一款用于扫描开源软件依赖项中已知问题的工具。其核心功能依赖于准确识别软件包版本并进行比对。此前，该项目已经支持多种包管理系统的版本比对，但尚未实现对Red Hat RPM软件包版本的特殊处理。

值得注意的是，OSV.dev（OSV问题数据库）近期已经添加了对RPM版本的支持。这为OSV-Scanner实现相应功能奠定了基础。

技术实现方案

实现这一功能需要在OSV-Scanner代码库的internal/semantic目录下新增一个version-rpm.go文件。该文件将包含专门处理Red Hat软件包版本比对的逻辑。

Red Hat的版本编号系统有其特殊性，与常见的语义化版本(SemVer)有所不同。它采用"epoch:version-release"的格式，其中：

• epoch是一个可选的非负整数
• version是上游软件版本
• release是发行版特定的修订号

开发进展与挑战

目前开发面临的主要挑战是缺乏可用的测试数据集。虽然OSV.dev的生产环境尚未提供Red Hat的all.zip数据库，但开发团队已经获得了测试环境的访问权限，可以获取所需的测试数据。

作为替代方案，开发人员也考虑使用基于Red Hat的发行版（如Rocky Linux、AlmaLinux）的数据来生成测试用例。这些发行版与Red Hat保持高度兼容，可以作为有效的替代数据源。

未来展望

这一功能的实现将使得OSV-Scanner能够更准确地识别Red Hat系统及其衍生发行版中的软件问题，为使用这些系统的用户提供更全面的安全扫描能力。随着功能的完善，预计将显著提升工具在企业级Linux环境中的实用性。

开发团队表示，一旦相关测试数据准备就绪，将尽快推进该功能的实现和测试工作。这将为开源安全生态系统的完善做出又一重要贡献。